Datenschutz
in Ihrer Arztpraxis

Anwälte für DSGVO-Beratung und Rechtsbeistand bei Datenpannen mit Patientendaten

Das Bild zeigt eine Person, mit der ihre persönlichen Daten verknüpft sind und dient als Titelbild für das Thema „Datenschutzrecht: Das Datenleck bei der Praxissoftware InSuite zeigt die Probleme mit dem Datenschutz bei Patientendaten“.

Die persönlichen Daten von Patienten unterliegen dem besonderen Datenschutz. Bei einer Datenpanne mit Patientendaten können sowohl Klagen von Patienten als auch Bußgelder durch Behörden drohen. Der Datenschutz in der Arztpraxis ist ein extrem wichtiges Thema, das Ihrer Aufmerksamkeit bedarf. Dies zeigt einmal mehr der aktuelle Fall der aufgedeckten Sicherheitslücken in der Praxissoftware inSuite.

Kam es in Ihrer Arztpraxis zu einer Datenpanne mit Patientendaten oder möchten Sie sich bestmöglich vor
Klagen und Bußgeldern schützen?

Als spezialisierte Anwälte für Datenschutz bieten wir Ärzten erfahrenen Rechtsbeistand und unterstützen Sie bei der Umsetzung der DSGVO in Ihrer Arztpraxis!

Nimrod Rechtsanwälte kontaktieren!

Praxissoftware
inSuite mit gravierenden Sicherheitslücken

Die in Deutschland verbreitete Praxissoftware „inSuite“ verarbeitet sensible Patientendaten und soll die Arbeit von Ärzten und Arztpraxen eigentlich deutlich erleichtern. Auf der Homepage wirbt der Anbieter Doc Cirrus mit „maximalem Datenschutz“ und „Komplettschutz vor unbefugtem Zugriff“ (Stand: September 2022).

Wie Sicherheitsexperten der Aktivistengruppe Zerforschung jedoch im August 2022 aufdeckten, ist bzw. war auf dieses Werbesprechen wenig Verlass. Die Experten entdeckten in der Softwarelösung für Arztpraxen verschiedene Schwachstellen. Durch diese war der Zugriff auf rund 60.000 Patientendaten aus über 270 Arztpraxen möglich. Die Softwareexperten konnten sich auch Zugang zu E-Mail-Konten der registrierten Arztpraxen verschaffen und so die gesamte E-Mail-Kommunikation zwischen Ärzten und Patienten mitlesen. Selbst hochsensible Dokumente wie Diagnosen, Laborbefunde und Atteste waren für unbefugte Dritte zugänglich. Es ging insgesamt um mehr als zwei Millionen Datensätze.

Im Rahmen des Responsible-Disclosure-Verfahrens informierten die Aktivisten das Softwareunternehmen über die gefundenen Sicherheitslücken. Doc Cirrus veröffentlichte daraufhin am 11. Juli 2022 eine Pressemitteilung, die diese Schwachstellen aufgrund von Programmierfehlern erklärt und mitteilt, dass die betroffenen Dienste zunächst deaktiviert und inzwischen aktualisiert wurden. Der Anbieter analysierte Logs sowie Zugriffsmuster und teilte mit, dass abgesehen von der Arbeit der Sicherheitsaktivisten keine Patientendaten von Dritten eingesehen wurden. Kunden seien unverzüglich informiert worden und man habe sich dafür entschuldigt, dass die Programmierfehler trotz externer Penetrationstests und Zertifizierung nach ISO 27001 nicht früher entdeckt wurden.

Problem für den Datenschutz in der Arztpraxis: Zertifikate gelten nicht für den Datenschutz

Als Entscheider in Ihrer Arztpraxis dürfen Sie sich nicht von den vielen Zertifikaten blenden lassen, wie sie zum Beispiel die Kassenärztliche Bundesvereinigung (KBV) für die Software inSuite ausgestellt hat. Wie die KBV selbst mitgeteilt hat, liegt die IT-Sicherheit der Praxisverwaltungssysteme im Verantwortungsbereich der Nutzer, d h. der Ärzte und Praxisteams.

Weiter erklärte Christof Stein in seiner Rolle als Sprecher des Bundesdatenschutzbeauftragten, es gebe für Softwarehersteller keine Verpflichtung, ihre Software DSGVO-konform auszugestalten. Das gelte selbst dann, wenn eine Software sensible Patientendaten verarbeite. Aber wer ist dann verantwortlich? Nach Angaben von Christof Stein sei letztlich die Arztpraxis für den Datenschutz verantwortlich. Als Nutzer einer Praxissoftware müsse der Arzt bzw. die Arztpraxis selbst die Datenschutzkonformität verwendeter Software prüfen.

Der Fall zeigt erneut, dass insbesondere der Datenschutz bei Patientendaten ein hochsensibles Thema ist und Ärzte / Praxen selbst zur korrekten Umsetzung der DSGVO verpflichtet sind. Das Management von Patientendaten mittels cloudbasierter Softwarelösung ohne genaue und fachkundige Sicherheitsüberprüfung kommt folglich einem unverantwortlichen Handeln gleich und ist im ungünstigsten Fall strafbar.

Haben Sie weitere Fragen zum Datenschutz in der Arztpraxis? Dann lassen Sie sich von Ihren Anwälten für Ärzte beraten!

Jetzt Nimrod kontaktieren und Termin zur Rechtsberatung vereinbaren!

Häufige Fehler rund
um den Datenschutz in Arztpraxen

Die Gesundheitsinformationen einer Person gehören zu den besonders schützenswerten Arten personenbezogener Daten. Als Arzt sind Sie in Ihrer Arztpraxis für den Datenschutz rund um die Gesundheitsinformationen Ihrer Patienten (die Patientendaten) verantwortlich. Neben Gefahren durch Schwachstellen in verwendeten Softwarelösungen werden auch vor Ort in Arztpraxen häufig Fehler beim Datenschutz begangen. Unter anderem können folgenden Vorgänge zu Problemen mit dem Datenschutz und der Schweigepflicht führen:

Der Empfangsbereich einer Arztpraxis darf nicht unbeaufsichtigt sein, da sonst Unbefugte auf die Patientendaten in Aktenschränken und ggf. Computern zugreifen können.
Ärzte und Mitarbeiter dürfen sich nicht am Patientenempfang oder anderen Orten, an denen tendenziell Unbefugte mithören könnten, über Diagnosen und andere Patientendaten unterhalten.
Patienten dürfen niemals Zugriff auf Akten anderer Patienten erlangen können. Das kann zum Beispiel der Fall sein, wenn ein Patient in einem Behandlungsraum allein auf den Arzt wartet und dort noch Patientenakten von anderen Patienten liegen.
Bei Auskünften per Telefon oder E-Mail ist besondere Vorsicht geboten, da sichergestellt sein muss, dass die anfragende Person berechtigt ist.
Eine mündliche Einwilligung der Patienten in die Datenverarbeitung reicht laut DSGVO aufgrund der Nachweispflicht nicht aus. Das Einverständnis muss in der Arztpraxis schriftlich erfolgen.

Jetzt Ihre Anwälte für den Datenschutz beim Arzt kontaktieren und beraten lassen!

Die Nimrod Rechtsanwälte sind für sämtliche Fragen zum Datenschutz in der Arztpraxis Ihre Ansprechpartner. Als TÜV-zertifizierte Datenschutzbeauftragte kennen wir uns mit den Regelungen der DSGVO für Arztpraxen aus und können Sie optimal zum Thema beraten. Mit unserer Hilfe treffen Sie die bestmöglichen Vorkehrungen, um sich vor einer Datenpanne mit Patientendaten zu schützen. Falls es bereits zu einem Datenschutzverstoß gekommen ist, bieten wir Ihnen erfahrenen und verlässlichen Rechtsbeistand.

Füllen Sie jetzt das Kontaktformular unten auf der Seite aus. Wir melden uns schnellstmöglich bei Ihnen zurück!

Das Bild zeigt einen Arzt und einen Anwalt, die sich die Hand geben, und dient als Beitragsbild für das Thema „Als Anwälte für Ärzte bieten Nimrod Rechtsanwälte professionellen Rechtsbeistand in Sachen Datenschutz und bei Datenpannen mit Patientendaten“.

FAQ: Häufige Fragen zum Datenschutz in der Arztpraxis

Was ist die Rechtsgrundlage für den Datenschutz beim Arzt?

Seit dem 25. Mai 2018 stellt die Datenschutzgrundverordnung (DSGVO) die gesetzliche Grundlage für den Datenschutz beim Arzt dar. Die Regelung gilt gleichermaßen für Allgemeinmediziner, Zahnärzte, Gynäkologen und Ärzte anderer Fachrichtungen. Nach Art. 9 Abs. 1 DSGVO gelten demnach Patientendaten als besondere personenbezogene Daten und sind besonders schützenswert. Als Arzt müssen Sie die Berechtigung zur Verarbeitung von Patientendaten laut Art. 5 Abs. 2 DSGVO in jedem Fall einzeln einholen. Der Nachweis muss schriftlich oder elektronisch erfolgen, sodass Sie diesen der zuständigen Aufsichtsbehörde auf Anfrage vorlegen können.

In welchen Bereichen ist der Datenschutz besonders wichtig?

Im Rahmen der Datenerhebung dürfen Sie nur die Patientendaten abfragen, die für die Diagnose und Behandlung notwendig sind. Die gesammelten Informationen dürfen Sie nicht automatisch vollständig an Versicherungen und andere Dritte weitergeben. Für die Herausgabe personenbezogener Daten müssen die Patienten in der Regel zuvor eine Einwilligungserklärung unterschreiben. Bei der Datensicherung müssen Sie die Patientendaten für den Datenschutz in der Arztpraxis vor unbefugtem Zugriff durch Dritte schützen. Das betrifft sowohl die Patientenakten in Papierform als auch digitale Datensätze.

Worauf muss ich bei Datenverarbeitung Verträgen mit externen Dienstleistern achten?

Für den Datenschutz in der Arztpraxis müssen Sie vor der Zusammenarbeit mit externen Dienstleistern prüfen, ob der Abschluss eines Datenverarbeitungsvertrags erforderlich ist. Solch ein Vertrag ist notwendig, wenn der Dienstleister mit personenbezogenen Daten in Berührung kommt. Ein typisches Beispiel stellt die Cloud-Lösung der Praxissoftware inSuite dar. Ebenso gilt die Notwendigkeit bei Dienstleistern für die Vernichtung von Patientenakten oder Unternehmen, die die Praxissoftware warten und so Zugriff erhalten könnten. Bei der Datenübermittlung an Dritte bedarf es in der Regel der Einverständniserklärung der Patienten – ohne diese Erklärung darf die Datenübermittlung nur in Ausnahmefällen erfolgen.

Datenschutz in Ihrer Arztpraxis